Проверка переменных окружения (environment variables) в production требует крайней осторожности из-за риска утечки чувствительных данных (паролей, API-ключей, секретов).

Безопасные методы проверки:

1. Через CLI (если есть безопасный доступ к серверу)

• Используйте команды для вывода только имен переменных или их замаскированных значений.

  
  # Linux/macOS: Показать только имена переменных
  printenv | cut -d= -f1

Показать имена и замаскировать значения (первые 2 символа)

printenv | awk -F= '{print $1 "=" substr($2,1,2) "*****"}'

Windows (PowerShell)

Get-ChildItem Env: | Select-Object Name

**2. Через защищённый административный эндпоинт приложения**
Создайте временный, строго аутентифицированный и авторизованный маршрут, который возвращает **только безопасную информацию**.

**Пример на Node.js:**
```javascript
// middleware/strictAuth.js - ОЧЕНЬ строгая проверка (например, по IP и токену)
const adminIPs = new Set(['10.0.0.1', '192.168.1.100']);
const ADMIN_TOKEN = process.env.ADMIN_INSPECTION_TOKEN; // Отдельный секрет для этой цели

const strictAuth = (req, res, next) => {
    const clientIP = req.ip;
    const authHeader = req.get('Authorization');

    if (adminIPs.has(clientIP) && authHeader === `Bearer ${ADMIN_TOKEN}`) {
        return next();
    }
    res.status(403).send('Forbidden');
};

// route
app.get('/admin/debug/env', strictAuth, (req, res) => {
    const env = process.env;
    const safeEnv = {};

    // Фильтрация: показываем только имена НЕсекретных переменных, значения маскируем.
    const SENSITIVE_KEYWORDS = [/PASS/i, /KEY/i, /SECRET/i, /TOKEN/i, /PRIVATE/i, /CREDENTIAL/i];

    for (const [key, value] of Object.entries(env)) {
        const isSensitive = SENSITIVE_KEYWORDS.some(regex => regex.test(key));

        if (isSensitive) {
            // Для секретов показываем только факт наличия
            safeEnv[key] = '*** SET ***';
        } else {
            // Для несекретных можно показать значение (или его часть)
            safeEnv[key] = value.length > 10 ? `${value.substring(0, 5)}...` : value;
        }
    }
    res.json({
        message: 'Filtered environment variables',
        environment: safeEnv
    });
});

3. Через системы управления конфигурацией и секретами

• HashiCorp Vault, AWS Secrets Manager, Azure Key Vault: Используйте их CLI или API для проверки только метаданных (например, список существующих ключей) без получения самих секретов.

  # Пример с Vault (проверка списка секретов по пути, без чтения данных)
  vault list secret/data/myapp/prod

4. Косвенная проверка через логи приложения

• Настройте приложение логировать успешную загрузку конфигурации (без значений) на этапе инициализации.

  
  # Python пример
  import os
  import logging
  logging.basicConfig(level=logging.INFO)
  logger = logging.getLogger(__name__)

required_vars = ['DB_HOST', 'DB_NAME', 'EXTERNAL_API_URL'] missing_vars = [var for var in required_vars if var not in os.environ] if missing_vars: logger.critical(f"Missing required env vars: {missing_vars}") else: logger.info("All required environment variables are present.")

Логируем только имена загруженных переменных

logger.info(f"Loaded config keys: {list(os.environ.keys())}")

**СТРОГИЕ ПРАВИЛА БЕЗОПАСНОСТИ:**
1.  **Никогда не логируйте и не выводите значения секретных переменных.**
2.  **Ограничивайте доступ:** Административные эндпоинты должны быть доступны только из доверенных сетей (VPN, внутренний IP) и по строгой аутентификации (mTLS, токены).
3.  **Принцип минимальных привилегий:** Учётная запись для проверки должна иметь доступ только на чтение и только к необходимым данным.
4.  **Временность:** Административные эндпоинты должны отключаться после завершения проверки или быть доступны только в специальных "debug" режимах, отключённых в обычной работе.
5.  **Аудит:** Все попытки доступа к таким эндпоинтам должны записываться в лог безопасности.